Blog GlobalSign

07 mars 2019

British Airways a-t-elle correctement géré le piratage de ses données ? Une étude de cas à l’heure du RGPD

En septembre 2018, la compagnie aérienne leader British Airways a annoncé avoir subi une attaque contre ses données et perdu certaines données clients. La compagnie a indiqué que les données avaient été volées entre le 21 août et le 5 septembre 2018 et que 380 000 transactions avaient été concernées.

Cette brèche revêt une certaine importance, non seulement par son ampleur et son impact évident sur les personnes dont les données ont été compromises, mais aussi parce qu’il s’agit là de l’une des premières pertes majeures de données depuis l’introduction du règlement général sur la protection des données (RGPD). En vigueur depuis mai 2018, le RGPD fournit aux entreprises un cadre à jour pour mieux comprendre leurs obligations en matière de protection des données, mais aussi pour améliorer l’arsenal de défense des régulateurs et relever le plafond des amendes.

Nous examinerons ici la façon dont BA a géré cette atteinte à la protection des données, si la compagnie a agi correctement et conformément aux règles du RGPD, et quelles pourraient être les conséquences de cet incident.

Que s’est-il passé ?

Le directeur général de BA a qualifié l’infraction d’« attaque criminelle malveillante », sans pour autant révéler le détail du mode opératoire. Pendant 15 jours, les cybervoleurs s’en sont donc pris aux données des réservations effectuées sur cette période. Si des données personnelles et financières ont bel et bien été compromises, aucun renseignement sur les passeports ou les voyages n’a été perdu.

Les experts en cybersécurité laissent entendre que les pirates ont pu mener une attaque assimilable à du « skimming » (technique utilisée pour pirater les distributeurs d’argent)… mais en version numérique ; les données ont ainsi été copiées au fur et à mesure qu’elles étaient saisies dans le système par les acheteurs.

Que change le RGPD ?

Certes, avant l’introduction du RGPD, les autorités avaient déjà sanctionné plus lourdement de plus grandes entreprises pour ne pas avoir correctement protégé leurs données. La sanction qui se rapproche le plus proche du RGPD date de 2016, lorsque la plateforme de messagerie WhatsApp a été condamnée à 10 000 euros d’amende par jour pour ne pas avoir respecté la réglementation néerlandaise sur le contrôle des données.

Au bout du compte, le RGPD a été instauré pour renforcer le pouvoir de sanction des organismes de réglementation en cas de violation des dispositions relatives à la protection des données. L’introduction du RGPD a non seulement relevé le plafond des amendes applicables à une entreprise à la suite d’une atteinte à la protection de ses données, mais a aussi facilité le traitement et le recouvrement de ces amendes.

BA a-t-elle agi correctement ?

Il s’agit donc de déterminer si BA a agi conformément aux règles du RGPD pour savoir à quelles amendes et autres mesures punitives l’entreprise s’est exposée. En vertu du RGPD, les organisations doivent signaler toute atteinte à la protection de leurs données dans les 72 heures qui suivent la date à laquelle elles en prennent connaissance. British Airways a pu révéler l’attaque dont ses données avaient fait l’objet dans la journée qui a suivi sa détection, et a communiqué des informations précises sur les personnes touchées et le type de données susceptibles d’avoir été compromises.

Toujours est-il que la compagnie aérienne a été piratée, ce qui pourrait laisser penser que les précautions nécessaires à la protection des données personnelles de ses clients n’auraient pas été prises.

Un cas d’école pour le RGPD ?

Le plus intéressant sans doute dans cette affaire est qu’il s’agit de l’une des premières atteintes majeures à la protection des données dont une grande entreprise fait les frais depuis l’instauration du RGPD. Selon toute logique, la sanction appliquée devrait être observée par de nombreuses entreprises curieuses de savoir à quoi elles pourraient s’attendre dans un scénario similaire — un cas d’école pour le RGPD et l’application des nouvelles règles.

Certains laissent entendre que BA servira d’exemple pour montrer aux organisations qu’elles doivent commencer à prendre la cybersécurité au sérieux. Par ailleurs, BA a agi conformément aux préconisations du RGPD pour ce qui est de l’information transmise aux clients. Aux organes de réglementation de se montrer équitables et raisonnables.

À combien pourrait s’élever l’amende imposée à BA ?

En théorie, BA pourrait se voir infliger jusqu’à 20 millions d’euros d’amende ou 4 % de son chiffre d’affaires mondial — selon le montant le plus élevé (soit, dans le cas de BA, son chiffre d’affaires mondial). Mais, pour ce qui est de la violation des données, on ne peut véritablement parler de perte de données massive ou catastrophique. Selon certains acteurs du secteur avancent que l’amende pourrait être comprise entre 5 et 10 millions d’euros.

L’amende la plus élevée jamais infligée par l’Information Commissioner’s Office britannique (ICO) s’est élevée à 500 000 £. On observera donc avec intérêt si la sanction financière appliquée à la compagnie aérienne excédera ce montant. Sans oublier qu’en plus des amendes, toute victime de ce piratage de données pourra potentiellement prétendre à une indemnisation de la part de la compagnie. L’incident pourrait, au bout du compte, coûter très cher.

À propos de l’auteur

Rédacteur indépendant, Mike James est spécialisé dans les technologies et la cybersécurité. Il est établi à Brighton au Royaume-Uni. Ses articles sont publiés sur de nombreux grands sites et magazines presse. Mike collabore régulièrement sur des sujets relatifs au hacking éthique et aux tests de pénétration, notamment pour la mise en œuvre optimale de ces technologies dans les entreprises de tous types et de toute taille. Lorsqu’il n’écrit pas sur des sujets « geek », il écrit également sur des recettes et programmes d’exercices.

Note : ce billet de blog a été écrit par un rédacteur externe afin de varier les contenus proposés à nos lecteurs. Les opinions exprimées par l’auteur de cet article sont exclusivement les siennes et ne reflètent pas nécessairement les opinions de GlobalSign.

Partager ce blog

Bilan post-RGPD : leçons de transformation numérique d’un DPD

Quel impact aura le RGPD sur les données de votre entreprise ?